Microsoft Entra ID を使用すると、グローバル管理者は 永続的な Microsoft Entra 管理者ロールの割り当てを行うことができます。 これらのロールの割り当ては、 Microsoft Entra 管理センター または PowerShell コマンドを使用して作成できます。
永続的な管理ロールの割り当ては、特権ロール管理者が Microsoft Entra Privileged Identity Management (PIM) サービスを使用して行うこともできます。 さらに、特権ロール管理者は、ユーザーを Microsoft Entra 管理者ロールの 対象 にすることができます。 管理者候補は必要なときにロールをアクティブ化できます。作業が完了すると、そのアクセス許可は期限切れになります。
Privileged Identity Management では、組み込みとカスタムの両方の Microsoft Entra ロールがサポートされます。 Microsoft Entra カスタム ロールの詳細については、「Microsoft Entra ID でのロールベースのアクセス制御」を参照してください。
注
ロールが割り当てられている場合、割り当ては次のようになります。
- 5 分未満の期間は割り当てることができません。
- 割り当てられてから 5 分以内に削除することはできません。
ロールの割り当て
ユーザーを Microsoft Entra 管理者ロールの候補にするには、次の手順を実行します。
Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
ID ガバナンス>特権 ID 管理>Microsoft Entra ロールに移動します。
[ ロール] を選択すると、Microsoft Entra アクセス許可のロールの一覧が表示されます。
![[割り当ての追加] アクションが選択されている [ロール] ページのスクリーンショット。](media/pim-how-to-add-role-to-user/roles-list.png)
[ 割り当ての追加] を選択して、[ 割り当ての追加] ページを 開きます。
[ ロールの選択] を選択 して、[ ロールの選択 ] ページを開きます。
割り当てるロールを選択し、ロールに割り当てるメンバーを選択して、[ 次へ] を選択します。
ユーザー、グループ、またはエージェント ID を選択できます。 エージェント ID に割り当てることができるロールの一覧については、「 Microsoft Entra Agent ID での承認」を参照してください。
注
ゲスト ユーザーに Microsoft Entra 組み込みロールを割り当てると、ゲスト ユーザーはメンバー ユーザーと同じアクセス許可を持つよう昇格されます。 メンバーとゲスト ユーザーの既定のアクセス許可の詳細については、「Microsoft Entra ID の既定のユーザーアクセス許可とは」を参照してください。
[メンバーシップの設定] ウィンドウの [割り当ての種類] の一覧で、[対象] または [アクティブ] を選択します。
有資格 の割り当てでは、ロールのメンバーがロールを使用するためのアクションを実行する必要があります。 アクションには、多要素認証 (MFA) チェックの実行、業務上の妥当性の指定、指定された承認者に対する承認要求などがあります。
アクティブな 割り当てでは、メンバーがロールを使用するためのアクションを実行する必要はありません。 アクティブとして割り当てられたメンバーは、常にそのロールに割り当てられた特権を持ちます。
特定の割り当て期間を指定するには、開始日時と終了日時のボックスを追加します。 完了したら、[ 割り当て ] を選択して新しいロールの割り当てを作成します。
永続的な 割り当てには有効期限はありません。 このオプションは、ロールのアクセス許可を頻繁に必要とする永続的なワーカーに対して使用します。
期限付き 割り当ては、指定した期間の終了時に期限切れになります。 このオプションは、たとえばプロジェクトの終了日時がわかっている、一時的なまたはコントラクト ワーカーで使用します。
注
グローバル管理者ロールのアクティブな期限付きロールの割り当ては、グローバル管理者に割り当てられた他のアクティブなロールの割り当てが存在しない場合、有効期限時には削除されません。 つまり、グローバル管理者ロールに対してアクティブなロールの割り当てが最後に割り当てられた場合、そのロールは残ります。 同様に、グローバル管理者ロールに割り当てられた他のロールの割り当てが存在しない場合、つまり最後のグローバル管理者ロールの割り当てである場合、グローバル管理者ロールの有資格の期限付きロールの割り当ては、有効期限時に削除されません。 これは、管理者が誤ってテナントからロックアウトするリスクを最小限に抑えるために行われます。
ロールが割り当てられると、割り当て状態の通知が表示されます。
制限スコープがあるロールを割り当てる
特定のロールでは、付与されるアクセス許可の範囲を 1 つの管理単位、サービス プリンシパル、またはアプリケーションに制限することができます。 この手順は、管理単位のスコープを持つロールを割り当てる場合の例です。 管理単位によるスコープをサポートするロールの一覧については、「管理単位スコープ を持つロールの割り当て」を参照してください。 この機能は、現在 Microsoft Entra 組織に展開されています。
Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
Entra ID>役割と管理者に移動します。
ユーザー管理者を選択します。
![ポータルでロールを開くと、[割り当ての追加] コマンドが使用可能であることを示すスクリーンショット。](media/pim-how-to-add-role-to-user/add-assignment.png)
[ 割り当ての追加] を選択します。
[ 割り当ての追加] ページでは、次のことができます。
- ロールに割り当てるユーザーまたはグループを選択する
- ロールのスコープ (この場合は管理単位) を選択する
- スコープの管理単位を選択する
管理単位と互換性のあるカスタム ロールを割り当てようとすると、[ロール と管理者 ] ページから開始して、管理単位のスコープを持つロールを割り当てることはできません。 管理単位スコープを持つカスタム ロールを割り当てるには、まず管理単位を開き、次にロールを割り当てる必要があります。 詳細については、「 管理単位スコープを持つロールの割り当て」を参照してください。 管理単位の作成については、管理単位の 作成または削除を参照してください。
Microsoft Graph API を使用してロールを割り当てる
PIM 用の Microsoft Graph API の詳細については、「 特権 ID 管理 (PIM) API を使用したロール管理の概要」を参照してください。
PIM API を使用するために必要なアクセス許可については、「 Privileged Identity Management API について」を参照してください。
終了日なしの有資格
この例は、終了日のない、資格のある割り当てを作成するための HTTP 要求を示しています。 C# や JavaScript などの言語での要求サンプルを含む API コマンドの詳細については、「 roleEligibilityScheduleRequests の作成」を参照してください。
HTTP 要求
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json
{
"action": "adminAssign",
"justification": "Permanently assign the Global Reader to the auditor",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "noExpiration"
}
}
}
HTTP 応答
この例は応答を示しています。 ここに示されている応答オブジェクトは、読みやすくするために短縮されている可能性があります。
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "42159c11-45a9-4631-97e4-b64abdd42c25",
"status": "Provisioned",
"createdDateTime": "2022-05-13T13:40:33.2364309Z",
"completedDateTime": "2022-05-13T13:40:34.6270851Z",
"approvalId": null,
"customData": null,
"action": "adminAssign",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
"justification": "Permanently assign the Global Reader to the auditor",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T13:40:34.6270851Z",
"recurrence": null,
"expiration": {
"type": "noExpiration",
"endDateTime": null,
"duration": null
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
アクティブで期限付き
この例は、時間制限のあるアクティブな割り当てを作成するための HTTP 要求を示しています。 C# や JavaScript などの言語での要求サンプルを含む API コマンドの詳細については、「 roleAssignmentScheduleRequests の作成」を参照してください。
HTTP 要求
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminAssign",
"justification": "Assign the Exchange Recipient Administrator to the mail admin",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
HTTP 応答
この例は応答を示しています。 ここに示されている応答オブジェクトは、読みやすくするために短縮されている可能性があります。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
"status": "Provisioned",
"createdDateTime": "2022-05-13T14:01:48.0145711Z",
"completedDateTime": "2022-05-13T14:01:49.8589701Z",
"approvalId": null,
"customData": null,
"action": "adminAssign",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
"justification": "Assign the Exchange Recipient Administrator to the mail admin",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T14:01:49.8589701Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
既存のロールの割り当てを更新または削除する
既存のロールの割り当てを更新または削除するには、次の手順を実行します。
グローバル管理者の最後にアクティブなロールの割り当てを削除することはできません。 グローバル管理者ロールに対してアクティブな永続的なロールの割り当てを持つ緊急アクセス アカウントを持つことをお勧めします。 詳細については、以下を 参照してください。
グローバル管理者ロールに割り当てられたロールの割り当てが残っていない場合、グローバル管理者の対象となるロールの割り当てを削除することはできません。
これは、管理者が誤ってテナントから自分自身をロックアウトするリスクを最小限に抑えるために行われます。
Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
ID ガバナンス>特権 ID 管理>Microsoft Entra ロールに移動します。
[ ロール ] を選択すると、Microsoft Entra ID のロールの一覧が表示されます。
更新または削除するロールを選択します。
[対象ロール] タブまたは [アクティブなロール] タブでロールの割り当てを見つけます。
[ 更新] または [削除] を 選択して、ロールの割り当てを更新または削除します。
Microsoft Graph API を使用して資格のある割り当てを削除する
プリンシパルに対するロールの適格な割り当てを取り消すための HTTP 要求を示す例です。 C# や JavaScript などの言語での要求サンプルを含む API コマンドの詳細については、「 roleEligibilityScheduleRequests の作成」を参照してください。
リクエスト
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
{
"action": "AdminRemove",
"justification": "abcde",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
[応答]
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de",
"status": "Revoked",
"createdDateTime": "2021-07-15T20:23:23.85453Z",
"completedDateTime": null,
"approvalId": null,
"customData": null,
"action": "AdminRemove",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": null,
"justification": "test",
"scheduleInfo": null,
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}